INSTALACION Y CONFIGURACION DE SISTEMA PERIMETRAL:

“ZEROSHELL”

ANA KATERINE MONTESINOS GELVEZ

CODIGO: 1150013

PROFESOR: JEAN POLO CEQUEDA

MATERIA: SEGURIDAD: INFORMATICA

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER

INGENIERIA DE SISTEMAS

SAN JOSE DE CUCUTA

I SEMESTRE 2013

TABLA DE CONTENIDO

1. CONCEPTUALIZACION ¿Qué ZEROSHELL? Características de esta distribución 2. Descarga de Zeroshell 3. INSTALACION 1. Maquina en Virtual Vox 2. Ingresar a la página 4. CONFIGURACION BASICA 4.1 Asignar IP externa y externa 4.2 Asignar GATEWAY 4.3 Establecer autenticación 5. CREAR USUARIOS 5.1 Agregar un usuario 5.2 Ver listado de usuarios 5.3 Editar usuarios 6. AUTORIZAR SERVICIOS 7. FILTRAR PÁGINAS

INSTALACIÓN Y CONFIGURACION DE SISTEMA PERIMETRAL:

“ZEROSHELL”

1. CONCEPTUALIZACION ¿Qué ZEROSHELL? Zeroshell es una distribución Linux para servidores y dispositivos integrados destinados a la prestación de los principales servicios de red LAN requiere. Está disponible en forma de Live CD o la imagen de Compact Flash y se puede configurar y administrar utilizando su navegador web. Características de esta distribución Las principales características de esta distribución de Linux para aplicaciones de red se enumeran a continuación:

De equilibrio de carga y conmutación por error de varias conexiones a Internet; UMTS/HSDPA conexiones mediante el uso de módems 3G; Servidor RADIUS para proporcionar una autenticación segura y la gestión automática

de las claves de cifrado para el Wireless 802.11b, 802.11g y 802.11a redes que soportan el protocolo 802.1x en el EAP-TLS, EAP-TTLS y PEAP forma o la autenticación menos seguro del cliente de dirección MAC, WPA con TKIP y WPA2 con CCMP (802.11i queja) se apoyan demasiado, el servidor RADIUS también puede, en función del nombre de usuario, grupo o dirección MAC del suplicante, permitir el acceso de un 802.1Q VLAN ;

Portal Cautivo para apoyar el inicio de sesión web, en redes cableadas e inalámbricas. Zeroshell actúa como puerta de enlace de las redes en la que el portal cautivo está activo y en la que las direcciones IP (por lo general pertenecientes a las subredes privadas) son asignados dinámicamente por el servidor DHCP. Un cliente que tiene acceso a esta red privada debe autenticarse a través de un navegador web utilizando Kerberos 5 nombre de usuario y contraseña antes de que el firewall del Zeroshell permite al público acceder a la LAN. El Captive Portal se utilizan a menudo para proporcionar acceso autenticado a Internet en los hotspots en alternativa al protocolo de autenticación 802.1X demasiado complicado de configurar para los usuarios. Zeroshell implementa la funcionalidad de Portal Cautivo en forma nativa, sin necesidad de utilizar otro software específico NoCat o Chillispot;

QoS (Quality of Service) y de gestión de tráfico para controlar el tráfico en una red congestionada. Usted será capaz de garantizar el ancho de banda mínimo, limitar el ancho de banda máximo y asignar una prioridad a una clase de tráfico (útil en aplicaciones de red sensibles a la latencia como VoIP). El ajuste anterior se puede aplicar en interfaces Ethernet, redes privadas virtuales, bridges y bondings VPN. Es posible clasificar el tráfico mediante el uso de L7 filtros que permitan la inspección profunda de paquetes (DPI), que puede ser útil para dar forma a las aplicaciones de VoIP y P2P;

Servidor proxy de HTTP que es capaz de bloquear las páginas web que contienen virus. Esta característica se implementa con la solución antivirus ClamAV y el servidor proxy HAVP. El servidor proxy trabaja en proxy transparente el modo en el que, no es necesario configurar los navegadores de los usuarios a usarlo, pero las peticiones http será redirigido automáticamente;

Punto de acceso inalámbrico con múltiples SSID y VLAN de apoyo utilizando las tarjetas de red WiFi basada en el chipset Atheros. En otras palabras, un cuadro de Zeroshell con uno de tales tarjetas WiFi podría convertirse en un punto de acceso IEEE 802.11a/b/g proporciona autenticación fiable y el intercambio de claves dinámicas de 802.1X y protocolos WPA. Por supuesto, la autenticación se lleva a cabo con EAP-TLS y PEAP sobre el servidor RADIUS integrado;

Host-a-LAN VPN con L2TP/IPsec en el que L2TP (Layer 2 Tunneling Protocol) autenticado con Kerberos v5 nombre de usuario y la contraseña es encapsulado dentro de IPSec autenticada con IKE que utiliza certificados X.509;

VPN Lan-to-LAN con la encapsulación de datagramas Ethernet en SSL/TLS de túnel, con soporte para VLAN 802.1Q y configurar en la vinculación de balanceo de carga (aumento de banda) o la tolerancia a fallos (aumentar la fiabilidad);

Enrutador con rutas estáticas y dinámicas (RIPv2); Bridge 802.1d con protocolo Spanning Tree para evitar bucles, incluso en la presencia

de rutas redundantes; LAN virtual 802.1Q (VLAN etiquetado); Firewall Packet Filter y Stateful Packet Inspection (SPI) con filtros aplicables en las dos

rutas y bridges en todo tipo de interfaces, incluyendo VPN y VLAN; Es posible rechazar o forma de uso compartido de archivos P2P tráfico mediante el

uso de iptables IPP2P módulo en el Firewall y QoS clasificador; NAT para utilizar la red LAN clase de direcciones privadas ocultas en la WAN con

direcciones públicas; Port Forwarding TCP/UDP (PAT) para crear servidores virtuales. Esto significa que

clúster de servidores reales se verán con una única dirección IP (la IP del servidor virtual) y cada solicitud será distribuido con Round Robin algoritmo a los servidores reales;

Multizona servidor DNS con la gestión automática de la Resolución Inversa in-addr.arpa;

Subred multi servidor DHCP con la posibilidad de IP fija en función de la dirección MAC del cliente;

Cliente PPPoE para la conexión a la WAN a través de ADSL, DSL y líneas de cable (requiere un adecuado MODEM);

Cliente de DNS dinámico para llegar fácilmente a la sede, incluso cuando la IP es dinámica;

NTP (Network Time Protocol) del cliente y el servidor host para mantener sincronizados los relojes;

Servidor Syslog para la recepción y catalogación de los registros del sistema producido por los hosts remotos, incluidos los sistemas Unix, routers, switches, puntos de acceso Wi-Fi, impresoras de red y otros compatibles con el protocolo syslog;

Autenticación Kerberos 5 utilizando un enfoque integrado y transversal KDC-autenticación entre reinos (cross-authentication);

LDAP, NIS y RADIUS autorización;

X509 entidad emisora de certificados para la emisión y gestión de certificados electrónicos;

Unix y Windows Active Directory mediante la interoperabilidad LDAP y Kerberos 5 de autenticación reino cruz.

2. Descarga de Zeroshell Zeroshell es una distribución Live CD, es decir, que no es necesario instalarlo en el disco duro, ya que puede operar directamente desde el CD-ROM en el que se distribuye. En la página de Zeroshell podemos descargar el iso de esta distribución, para mayor comodidad escogemos la versión que viene para Virtualbox la cual ya tiene algunas configuraciones por defecto.

Podemos descargarlo entrando a la página http://www.zeroshell.org/download/

Y seleccionamos la opción de descarga de “Image for VirtualBox”, como se muestra en la figura anterior.

3. INSTALACION Para instalar Zeroshell, primero se tuvo que hacer el procedimiento anterior. Ahora si podemos proceder: 3.1. Maquina en Virtual Vox Hay que descomprimir el archivo zip, preferiblemente en el directorio donde se almacenan las maquinas virtuales de Virtualbox. Después de esto, para abrir la maquina virtual de Zeroshell, elegimos de la carpeta descomprimida y le damos doble clic al el cubo azul claro (el que se muestra en la figura).

Esta acción abrirá el programa de virtualvox y mostrara cargada en la lista de maquinas virtuales la maquina virtual de Zeroshell.

Esta máquina virtual viene con una partición asignada para guardar los cambios de las configuraciones y a su vez trae configurado un servidor DNS de ejemplo. Ahora zeroshell está listo para configurarse. 4. CONFIGURACION BASICA 4.1 Configuración básicas de la maquina virtual Primero hay que establecer las dos redes que vamos a usar, la red interna, y la red que utiliza nuestro sistema operativo anfitrión. Para esto, seleccionamos la maquina virtual y seleccionamos el icono configuración que se encuentra en forma de tuerca naranja en la parte superior izquierda de Virtualbox. Esta acción abrirá la siguiente ventana.

Una vez allí, escogemos la opción Red.

En la pestaña inicial (Adaptador 1), en el menú de conectado a, seleccionamos red interna, y se le da nombre a la red interna. Y en la pestaña Adaptado 2, selecciona la opción Adaptador puente, que es la red del anfitrión. Luego deshabilitamos los recursos que no va usar esta máquina, como los de audio y puertos usb.

Después de esto ya podemos proceder abrir la maquina virtual. Para eso damos doble clic sobre la maquina virtual, o también podemos seleccionar la maquina virtual y dar clic en el icono iniciar que es una flecha verde. Al terminar de cargar la maquina virtual nos muestra la siguiente ventana.

Este es el menú de configuraciones de Zeroshell tipo terminal, abre por default la sesión del administrador. En este menú se puede activar o desactivar un perfil, cambiar la contraseña del administrador, se pude ver la tabla de enrutamiento, las reglas del cortafuegos, mostrar las interfaces de red, administrar las ips de las interfaces, entre otras opciones. 4.2 Asignar IP interna y externa Como primera medida se va a establecer cuáles son las ips de nuestra red, cual pertenece a la interfaz 0 (eth00) y cual a la interfaz 1 (eth01). Para hacer esto, hay que escoger la opción <I> IP Manager

En el terminal que se mostro en la figura anterior, digitamos: i Esto mostrara la siguiente ventana:

Allí escogemos la <M>, para poder modificar la dirección IP de una interfaz especifica. Esto mostrara:

Esta primera opción es para escribir la interfaz a la cual le deseamos asignar o modificar la dirección IP. Entonces como inicialmente vamos a configurar al interfaz 0, escribimos al frente eth00 y damos enter. Esto muestra las especificaciones de la interfaz seleccionada, y la siguiente línea aparecerá para escribir cual IP vamos a modificar, como en este caso solo es una, escribimos: 1 y damos enter.

Luego sale otra línea que indica la IP que tiene asignada esta interfaz y al frente tenemos que escribir la nueva IP, y damos enter. Para este caso la IP nueva será: 192.168.0.100. Esta dirección IP debe ser diferente a la que manejan o tenga asignada un host, para no crear conflictos. Después aparece en otro línea la máscara de subred que tenía asignada, y al frente toca escribir la máscara de la red que tenemos, es decir, 255.255.255.0. Y por ultimo pide el estado de la interfaz, allí escribimos up. Así queda modificada con éxito, la IP de la interfaz eth00. Luego vuelve a salir el menú anterior, y volvemos hacer el mismo procedimiento para eth01. Pero con la IP correspondiente que se le va dar a la red externa. Al terminar la configuración se mostraran los cambios así:

4.3 Iniciar Sesión Ahora bien para seguir con las configuraciones, podemos ingresar a través del navegador a la sesión del administrador y seguir configurando el servidor de seguridad. Para ingresar a la interfaz web de Zeroshell, solo debemos colocar en el navegador la dirección IP de la interfaz eth00, así:

Para entrar como administrador los datos de ingreso son: Username: admin Password: zeroshell El password es ese a menos que lo haya modificado en la maquina virtual. Ahora ingresa a la interfaz de zeroshell.

4.4 Configurar Adaptadores de red Seleccionamos la opción NETWORK. Aquí la interfaz muestra las interfaces creadas anteriormente con sus IPs.

Normalmente ETH00 es el adaptador de red interno (interfaz segura del servidor de seguridad) y ETH01es el externo que comunicarse con router.Using xDSL Añadir botones de IP que puede configurar las direcciones IP estáticas para estas interfaces. He elegido para la interfaz interna 192.168.0.100 (ETH00) y 192.168.1.1 para el externo (ETH01), ahora me puedo asignar la puerta de enlace por defecto en el boton DEFAUT GW. Mi puerta de enlace es 192.168.0.1, ahora puedo comprobar las rutas de la estática en Menú del router:

Tipología de la red.

Ahora ya podemos empezar a crear políticas para nuestra red interna (192.168.0.0/24), o usar el portal cautivo para crear usuarios y contraseñas para los usuarios internos que quieren usar el navegador de internet.

4.5 Navegación por Internet Para que los clientes internos puedan hacer uso de la conexión a Internet, debemos activar Network Address Translation (NAT) para protegerlos. Usando el menú Router, hay que hacer clic en la opción NAT, y una ventana, donde tenemos que pasar la interfaz ETH01 a las interfaces visibles, así.

5. USUARIOS Esta configuración se hace en el menú USERS. 5.1 Agregar un usuario Para agregar un nuevo usuario, damos clic en Add. Esto abre dentro de la interfaz un formulario donde llenamos los datos del nuevo cliente a agregar.

Se llenan los datos, aquí podemos asignar la contraseña a este usuario y para guardar, damos clic en Submit. 5.2 Ver listado de usuarios Para ver el listado de los usuarios de la red interna creados, damos clic en la pestaña List. Y esta mostrara la lista de los usuarios y un detalle de los datos básicos de estos.

5.3 Editar usuarios Para editar los usuarios, tenemos u elegir el usuario en la lista de usuarios y le damos clic a la pestaña editar. 6. Establecer autenticación Para activar la autenticación tenemos que ingresar al menú CAPTIVE PORTAL. Primero hay que agregar los servicios que serán autorizados por el servidor, por defecto este tiene el servicio DNS y el DHCP, agregamos el de HTTP, con el puerto 80.

Ahora le damos clic a la pestaña autenticación y esta abre la siguiente visualización:

Podemos modificar el formato http de la autenticación, para que quede personalizados, le damos guardar en SAVE, y luego ACTIVE. 7. FILTRAR PÁGINAS

La única manera de filtrar paginas en a través de listas negras. Las listas negras

se crean en el menú, HTTP PROXY, en Manage.